คำถามติดแท็ก sandbox

ฉันกำลังเรียกใช้ Chromium ดังนี้: chromium --no-sandbox ฉันกำลังทำสิ่งนี้เพราะฉันใช้ Debian Squeeze บน OpenVZ VM Container และเป็นวิธีเดียวที่ฉันจะทำให้มันทำงานได้ แม้ว่าฉันจะอ่านต่อไปนี้มันแย่มาก แต่ฉันอยากรู้ว่าทำไม มีใครช่วยอธิบายให้ฉันฟังหน่อยได้ไหม? มีใครบางคนต้องการแฮ็คเข้าสู่คอมพิวเตอร์ของคุณเพื่อทำความเสียหาย หรือช่องโหว่นั้นมาจากไฟล์บนเว็บเช่นไฟล์ JavaScript หรือไม่ ถ้าฉันล็อคการสืบค้นไปยังไซต์ "เชื่อถือ" เพียงไม่กี่แห่ง (Gmail, stackexchange (ofcourse) และ facebook)

54 security  chrome  browser  sandbox 

คำสั่งที่ใช้ใน btrfs คืออะไรในกรณีที่ฉันต้องการ: สร้างสแน็ปช็อต( อ่านอย่างเดียว ) ของไดรฟ์ (ทำการทดลองบางอย่างในระดับเสียง); แล้วย้อนกลับระดับเสียงไปยังภาพรวม?

18 restore  btrfs  backup  sandbox 

ฉันกำลังทำงานในโครงการที่ใช้การจำลองแบบกระจาย: โค้ดโดยพลการถูกดำเนินการบนหลายโหนดและผลลัพธ์จะถูกรวบรวมและรวมในภายหลัง แต่ละโหนดเป็นอินสแตนซ์ของเครื่องเสมือน Ubuntu Linux และเรียกใช้กระบวนการหลักซึ่งดูแลการส่งต่อรหัสที่จะถูกดำเนินการไปยังกระบวนการของผู้ปฏิบัติงานจำนวนมาก (1 สำหรับแต่ละคอร์) คำถามนี้เกี่ยวกับวิธีการตรวจสอบให้แน่ใจว่าผู้ปฏิบัติงานแต่ละคนทำงานในสภาพแวดล้อมแบบ sandbox โดยไม่ต้องหันไปใช้อินสแตนซ์ของเครื่องเสมือนสำหรับแต่ละคน ข้อกำหนดที่แน่นอนสำหรับคนงานคือ: fs : ไม่มีสิทธิ์ในการเขียนสิทธิ์แบบอ่านอย่างเดียวถูก จำกัด ไว้ที่ไดเรกทอรีเดียว (และโฟลเดอร์ย่อย) สุทธิ : อนุญาตการสื่อสารในท้องถิ่นเท่านั้น (IPC, TCP, อะไรก็ตาม ... ) mem : ขีดสูงสุดในการใช้งานหน่วยความจำ (ไม่มีหน่วยความจำ swap) ฆ่าถ้าเกินขีด จำกัด mem cpu : อนุญาตให้ 1 คอร์เท่านั้น, ฆ่าถ้าเกินเวลาที่กำหนด ไม่ควรมีข้อ จำกัด อื่น ๆ : ผู้ปฏิบัติงานควรสามารถโหลดไลบรารีไดนามิก (จากโฟลเดอร์แบบอ่านอย่างเดียว), วางไข่เธรดหรือกระบวนการใหม่, เรียกฟังก์ชันระบบ, ecc …

15 cgroups  sandbox  apparmor 

คำสั่งที่ใช้ใน LVM คืออะไรในกรณีที่ฉันต้องการ: สร้างสแน็ปช็อตแบบอ่านอย่างเดียวของโวลุ่ม (ทำการทดลองบางอย่างในปริมาณ); แล้วย้อนกลับระดับเสียงไปยังภาพรวม?

12 lvm  restore  backup  sandbox 

ฉันกำลังเริ่มโครงการประเมินโปรแกรมที่ไม่น่าเชื่อถือ (การมอบหมายของนักเรียน) ในสภาพแวดล้อมที่ปลอดภัย แนวคิดหลักคือการสร้างเว็บแอพสำหรับ GlassFish และ Java wrapper รอบ lxc-utils เพื่อจัดการคอนเทนเนอร์ LXC มันจะมีคิวรอโปรแกรมและตัวห่อหุ้ม Java จะรักษาจำนวนคงที่ (พูล) ของคอนเทนเนอร์ LXC โดยกำหนดแต่ละคอนเทนเนอร์หนึ่งโปรแกรม (ไม่ได้ใช้) แต่ละคอนเทนเนอร์ควรรักษาความปลอดภัยด้วย SELinux เพื่อปกป้องระบบโฮสต์ คำถามของฉันคือ: มันเป็นความคิดที่ดีที่จะสร้างกลไกดังกล่าวสำหรับสภาพแวดล้อม sandbox หรือมีวิธีแก้ไขปัญหาที่เหมาะสมกว่านี้หรือไม่? ควรเบาและปลอดภัยต่อความคิดสร้างสรรค์ของนักเรียน

9 security  selinux  lxc  sandbox  container